Raccomandazione relativa ai requisiti minimi per la raccolta di dati on-line nell'Unione Europea
Adottata il 17 maggio 2001
ARTICOLO 29 -
GRUPPO DI LAVORO PER
IL GRUPPO PER
istituito dalla direttiva 95/46/CE del Parlamento europeo e del Consiglio, del
24 ottobre 1995,
visti gli articoli 29 e 30, paragrafo 1, lettera a), e paragrafo 3 di detta
direttiva,
visto il regolamento interno, in particolare gli articoli 12 e 14,
ha adottato la presente raccomandazione:
I. Introduzione
1. Nel documento di lavoro intitolato
"Tutela della vita privata su Internet - Un approccio integrato dell'EU
alla protezione dei dati on-line", del 21 novembre 2001, il Gruppo di
lavoro ha evidenziato come sia importante garantire la
messa in atto di strumenti adeguati per assicurare che l'utente Internet riceva
tutte le informazioni necessarie affinché possa riporre la propria fiducia, con
cognizione di causa, sui siti visitati e, se necessario, esercitare determinate
scelte conformemente ai propri diritti come previsto dalla normativa europea.
Tale fattore risulta particolarmente importante in
considerazione del fatto che l'uso di Internet moltiplica le possibilità di
raccolta di dati personali e, conseguentemente, i pericoli per i diritti
fondamentali e le libertà degli individui, soprattutto per quel che riguarda la
loro vita privata. Nel suo Parere n. 4/2000 del 16 maggio 2000 sul livello di
tutela dei dati offerto dai principi dell'"approdo
sicuro" (Safe Harbor),
il Gruppo di lavoro ha invitato la Commissione a valutare con urgenza
l'opportunità di creare un marchio di qualità per i siti Internet, che si basi
su criteri comuni che potrebbero essere stabiliti a livello comunitario.
Questa raccomandazione fa seguito ai
due documenti sopracitati.
Essa intende contribuire all'effettiva ed omogenea applicazione delle
disposizioni nazionali adottate in conformità alle direttive sulla tutela dei
dati personali fornendo indicazioni concrete sull'attuazione delle norme
contenute in tali direttive relativamente alle
pratiche più comuni esercitate attraverso Internet. Tali pratiche si verificano soprattutto al momento del "contatto
iniziale" tra l'utente Internet ed un sito Web sia nel caso di esclusiva
ricerca di informazioni, sia nel caso di esecuzione di operazioni commerciali
su base graduale.
Le indicazioni fornite di seguito
riguardano in particolar modo la raccolta di dati personali su Internet e si
prefiggono di identificare le misure che dovranno essere attuate nei confronti
delle persone interessate per garantire la lealtà e la liceità di tali pratiche
(applicazione degli articoli 6, 7, 10 e 11 della direttiva 95/46/CE). Tali
indicazioni focalizzano in particolare sul come, quando e quali informazioni
occorre fornire all'utente individuale, con l'aggiunta di dettagli pratici
relativi a diritti ed obblighi risultanti da dette direttive.
Il principale obiettivo di questa
raccomandazione consiste dunque nel fornire un concreto valore aggiunto all'attuazione
dei principi generali della direttiva. Il Gruppo di lavoro considera la
presente raccomandazione come la prima iniziativa per la presentazione a
livello europeo dell'insieme "minimo" di obblighi
ai quali i responsabili del trattamento (le persone fisiche o giuridiche
responsabili del trattamento dati nell'ambito di un sito Web) che si occupano
di siti Internet in cui vengono richieste informazioni particolareggiate o la
specificazione del campo d'azione possano facilmente conformarsi. Certamente
questa raccomandazione non esonera i responsabili del trattamento dall'obbligo attualmente vigente di verificare la conformità di tali
trattamenti all'intera serie di requisiti e condizioni precisati nel diritto
nazionale applicabile per renderlo legittimo, verifica senza la quale tale
trattamento non risulta idoneo.
Tale raccomandazione si applica nel
caso in cui il responsabile del trattamento abbia sede in uno degli Stati
membri dell'Unione europea. In questa circostanza sarà applicato il diritto
nazionale dello Stato membro in oggetto al trattamento dei dati personali che avvenga nel contesto delle attività di tale stabilimento.
Tale raccomandazione si applica altresì quando il
responsabile del trattamento non ha sede nel territorio della Comunità ma ricorre,
ai fini del trattamento di dati personali, a strumenti automatizzati o non
automatizzati situati nel territorio di uno degli Stati membri dell'UE. Tale
trattamento è contemplato dalla legislazione nazionale dello Stato membro in
cui si trovano i supporti tecnici o le risorse.
2. La raccomandazione, per poter
conseguire tale obiettivo, è rivolta particolarmente:
- ai responsabili del trattamento che raccolgono dati on-line, dotandoli
di una guida pratica che elenchi l'insieme minimo delle misure concrete
da attuare;
- ai singoli utenti Internet affinché siano informati a riguardo e
affinché possano esercitare i propri diritti;
- alle istituzioni desiderose di assegnare un'etichetta certificante la
conformità delle procedure di trattamento impiegate alle direttive europee
sulla protezione dei dati, dotandole di criteri di riferimento per
l'assegnazione di tale etichetta riguardo alle
informazioni da apporre e alla raccolta di dati personali. È ovvio che, al
momento dell'assegnazione dell'etichetta, occorrerà tener conto di separati
criteri concernenti altri obblighi e diritti oltre ai suddetti criteri di
riferimento. Il Gruppo di lavoro pubblicherà successivamente
un esauriente documento relativo a detta problematica
- alle autorità europee responsabili della protezione dei dati per
poterle dotare di un quadro di riferimento comune per il loro compito di
verifica della conformità alle disposizioni nazionali adottate dagli Stati
membri, conformemente alle direttive sopracitate;
3. Il Gruppo di lavoro è inoltre del
parere che tale raccomandazione dovrebbe servire da riferimento per la definizione
dei criteri per software e hardware preposti alla raccolta e al trattamento
di dati personali su Internet.
II. Raccomandazioni
sulle informazioni da fornire in caso di raccolta di dati nel territorio degli
Stati membri dell'Unione europea.
2.1. Informazioni da fornire alla
persona interessata e tempi da rispettare.
4. Qualsiasi
raccolta di dati personali individuali ottenuta attraverso un sito Web richiede
l'anticipata fornitura di determinate informazioni. In termini di
contenuto la conformità a tale obbligo rende necessario:
5. menzionare
l'identità, l'indirizzo fisico e quello elettronico del responsabile del
trattamento e, ove possibile, quello dell'eventuale rappresentante in forza all'articolo
4.2 della direttiva;
6. menzionare
chiaramente la/le finalità del trattamento con il quale il responsabile
raccoglie dati attraverso un sito Web. Ad esempio, nel caso in cui tali dati vengano
raccolti per stipulare un contratto (abbonamento ad Internet, ordine di
prodotti, ecc.) ed anche per la commercializzazione diretta, occorre che il
responsabile specifichi chiaramente le due finalità in questione;
7. menzionare chiaramente il
carattere obbligatorio o facoltativo delle informazioni richieste. Le
informazioni obbligatorie sono quelle indispensabili all'espletamento del
servizio richiesto. Ad esempio, è possibile evidenziare il carattere
obbligatorio o facoltativo apponendo un asterisco all'informazione di carattere
obbligatorio oppure, in alternativa, è possibile
scrivere "facoltativo" accanto all'informazione non obbligatoria. Il
fatto che la persona interessata non fornisca informazioni facoltative non deve
tornarle a svantaggio in nessun modo;
8. menzionare
l'esistenza di diritti, e delle condizioni per il loro esercizio, in base ai
quali l'interessato possa esprimere il proprio consenso o, eventualmente,
opporsi al trattamento di dati personali. È necessario parimenti fornire indicazioni sulle
modalità di accesso, di rettifica o di cancellazione
di tali dati o informazioni, sia riguardo la persona o il servizio al quale
occorre rivolgersi per l'esercizio di tali diritti, che relativamente alla
possibilità di esercitarli on-line e all'indirizzo fisico del responsabile;
9. elencare i destinatari o le
categorie di destinatari delle informazioni raccolte.
Al momento della raccolta di dati i siti Internet dovrebbero specificare se i
dati raccolti saranno comunicati o resi disponibili a terzi - tra cui, in
particolare, partner commerciali, imprese figlie, ecc. - e le relative
motivazioni (con finalità diverse dalla fornitura del servizio richiesto e per
la commercializzazione diretta).
In questi casi è fondamentale che gli
utenti Internet dispongano di un'effettiva possibilità
di opporsi on-line a detta comunicazione cliccando
su di una casella di spunta ed esprimendo così il proprio favore alla
comunicazione dei dati con finalità diverse dalla fornitura del servizio
richiesto. Dal momento che il diritto di opporsi può
essere esercitato in qualunque momento, occorre menzionare anche nelle
informazioni fornite alla persona interessata la possibilità di esercitare tale
diritto on-line. Il Gruppo di lavoro, consapevole degli svantaggi recati dal
sovraccarico di informazioni negli schermi, è del
parere che, se non appaiono nomi di destinatari, il responsabile del
trattamento si impegna a non comunicare le informazioni raccolte a terzi i cui
nomi ed indirizzi non siano stati forniti (a meno che la loro identità sia
ovvia), garantisce che la comunicazione dei dati sia necessaria
all'espletamento del servizio richiesto dall'utente Internet e che tale
comunicazione sia effettuata esclusivamente con quella finalità.
10. Nel caso in cui
sia previsto che il responsabile del trattamento trasmetta i dati a paesi
esterni all'Unione europea, specificare se tali paesi garantiscono una
protezione adeguata degli individui riguardo al trattamento dei loro dati
personali, in forza dell'articolo 25 della direttiva 95/46/CE. In questo
caso è necessario fornire informazioni specifiche a proposito dell'identità e
dell'indirizzo dei destinatari (indirizzo fisico e/o
elettronico);
11. fornire nome ed
indirizzo (indirizzo fisico e/o elettronico) del servizio o della persona
incaricata di rispondere ad eventuali quesiti riguardanti la protezione di dati
personali;
12. menzionare
chiaramente l'esistenza di procedure di raccolta automatica di dati prima di
utilizzare simili metodi per detta raccolta.
Nel caso di un ricorso a tali procedure è necessario che la persona interessata
riceva le informazioni contenute in questo documento. Detta persona dovrà
inoltre essere informata circa il nome del dominio dal quale il server del
sito trasmette le procedure di raccolta automatica, le finalità di dette
procedure, il loro periodo di validità, l'eventualità in cui l'accettazione di
tali procedure sia necessaria per visitare il sito e le possibili
conseguenze di una loro disattivazione. Se vi sono altri responsabili del
trattamento coinvolti nella raccolta dei dati personali
occorre che la persona interessata riceva tutte le informazioni riguardanti
l'identità del responsabile e le finalità del trattamento relativamente a
ciascun responsabile di detto trattamento.
È necessario comunicare la
possibilità di opporsi alla raccolta prima di ricorrere a qualsiasi
procedura automatica che provochi la connessione di un utente PC ad un altro
sito Web. Es. allo scopo di evitare che un secondo
sito possa raccogliere dati ad insaputa di in utente
Internet nel caso in cui questo venga automaticamente connesso da un sito Web
ad un altro per visualizzare pubblicità sotto forma di banner.
Ad esempio, se un cookie viene collocato dal server del responsabile del
trattamento è necessario comunicare detta informazione prima che venga spedito
all'hard disk dell'utente Internet, in aggiunta alle informazioni
fornite grazie alla tecnologia esistente che si limita a specificare il nome
del sito di trasmissione ed il periodo di validità di detto cookie.
13. Indicare le misure
di sicurezza a garanzia dell'autenticità del sito, del grado di completezza
e riservatezza delle informazioni trasmesse nella detta rete in
applicazione della legislazione nazionale applicabile.
14. Fornire le informazioni in tutte
le lingue usate nel sito Web e, specialmente, in quei
passaggi ove avviene la raccolta dei dati personali.
15. Che i responsabili del
trattamento verifichino la coerenza delle informazioni contenute nei vari
documenti destinati al sito (le sezioni "dati personali e protezione della
vita privata", i moduli elettronici, testi relativi alle
condizioni generali di vendita e ad altre comunicazioni commerciali).
2.2. Modalità di presentazione delle informazioni
16. Il Gruppo di lavoro ritiene che
le seguenti informazioni debbano apparire direttamente sullo
schermo prima che avvenga la raccolta, così da assicurare un giusto
trattamento dei dati.
Dette informazioni riguardano:
- l'identità del responsabile del trattamento;
- la/le finalità;
- la natura obbligatoria o facoltativa delle informazioni richieste;
- i destinatari o le categorie di destinatari dei dati raccolti;
- l'esistenza del diritto di accesso e di rettifica;
- l'esistenza del diritto di opporsi a qualsiasi comunicazione dei dati a terzi
con finalità diverse dalla fornitura del servizio richiesto e le modalità per
esercitare tale diritto (ad esempio fornendo la possibilità di cliccare su una casella di spunta)
- le informazioni da fornire in caso di utilizzo di procedure di raccolta
automatica; - il livello di sicurezza nel corso di tutte le fasi del trattamento
compresa la trasmissione, ad esempio sulle reti.
In tali situazioni le informazioni
devono essere fornite interattivamente e devono
apparire sullo schermo. Così, nel caso di metodi automatici di raccolta dati,
dette informazioni possono essere fornite, se necessarie, tramite la tecnica
delle finestre pop-up.
A proposito del livello di sicurezza
nel corso della trasmissione dei dati dall'apparecchiatura occorre visualizzare
un'intestazione del tipo "Stai accedendo ad una
connessione protetta" oppure le procedure di informazione automatica
presenti nei browser, come la comparsa di icone specifiche sotto forma
di chiave o di lucchetto.
17. Il Gruppo di lavoro ritiene
inoltre che sia necessario poter accedere ad
informazioni esaustive riguardo alla politica di tutela della sfera privata
(comprese le modalità per l'esercizio del diritto d'accesso) direttamente dalla
pagina d'entrata del sito e ovunque vengano raccolti dati personali on-line. Il
titolo dell'intestazione su cui cliccare deve essere
sufficientemente messo in risalto, chiaro e preciso in modo da consentire
all'utente Internet di crearsi un'idea chiara del contenuto al quale sta per accedere. Ad esempio, l'intestazione potrebbe asserire
"Stiamo raccogliendo e trattando dati personali
che
III. Raccomandazioni per il perfezionamento
degli altri diritti e doveri
Il Gruppo di lavoro desidera inoltre
attirare l'attenzione dei destinatari della presente Raccomandazione su altri
diritti dell'individuo ed obblighi dei responsabili del trattamento basati su
direttive di particolare attinenza nell'ambito della
raccolta di dati personali su siti Web. Il Gruppo di lavoro ritiene che le
raccomandazioni seguenti, così come le indicazioni sulle informazioni, abbiano
un'utilità pratica immediata sia per i responsabili del trattamento che per gli
utenti Internet.
18. Raccogliere esclusivamente i
dati necessari per il conseguimento dello scopo prefisso;
19. garantire che i dati siano
trattati esclusivamente nelle suddette legittime modalità, conformemente ad uno
dei criteri elencati nell'articolo 7 della direttiva 95/46/CE;
20. garantire l'effettivo esercizio
del diritto di accesso e di rettifica;
l'esercizio di tali diritti dovrebbe essere possibile sia all'indirizzo fisico
del responsabile del trattamento che on-line. È necessario predisporre
particolari misure di sicurezza affinché esclusivamente la persona interessata
abbia accesso on-line alle informazioni che la riguardano;
21. conformarsi al
principio della "finalità" o "scopo" in base al quale
occorre far uso di dati personali solo se necessario e per finalità determinate. In altri termini, in assenza di un
motivo legittimo, non è possibile fare uso di dati personali ed è necessario
mantenere l'anonimato degli individui (articolo 6, paragrafo 1, punto b) della direttiva 95/46/CE). Detto principio è
altresì denominato "principio di
minimizzazione".
22. Fornire ed incoraggiare la
consultazione in modalità anonima di siti commerciali, nello stesso ambito
descritto nel punto 21, senza richieste di identificazione
degli utenti per cognome, nome, indirizzo di posta elettronica o altri dati
identificativi.
Qualora sia necessario un
collegamento ad una persona senza completa identificazione della
stessa è bene suggerire ed accogliere l'uso di pseudonimi di qualsivoglia
natura.
Ove non sussistano necessità di identificazione legale occorre incoraggiare ed accogliere
l'uso di pseudonimi, anche nel caso di determinate operazioni. Un
esempio è dato dall'uso di certificati pseudonimi per le firme elettroniche (cfr. articolo 8 della direttiva
1999/93/CE relativa ad un quadro comunitario per le firme elettroniche).
23. Stabilire un periodo di
conservazione per i dati raccolti. È possibile conservare detti dati
esclusivamente per il tempo necessario allo scopo del trattamento indicato e
perseguito (articolo 6 della direttiva 95/46/CE e
articolo 6 della direttiva 97/66/CE).
24. Adottare gli accorgimenti
necessari per garantire la sicurezza dei dati nel corso del loro trattamento e
della loro trasmissione (ad esempio limitare e determinare il numero delle persone
che hanno accesso ai dati, far uso di trasmissioni cifrate, ecc.; articolo 17 della direttiva 95/46/CE).
25. Se è coinvolto un responsabile
per l'elaborazione, ad esempio per ospitare un sito Web, stipulare un contratto
che gli imponga di attuare appropriate misure di sicurezza in conformità anche
della normativa dello Stato membro in cui si trova il responsabile per
l'elaborazione, nonché effettuare il trattamento dei
dati personali attenendosi esclusivamente alle indicazioni del responsabile di
detto trattamento.
27. Se vengono
trasferite informazioni ad un paese terzo in cui non è garantito un adeguato
livello di protezione è necessario assicurare che il trasferimento dei dati
avvenga esclusivamente se lo stesso è in linea con le deroghe all'articolo 26
della direttiva 95/46/CE. In questi casi occorre informare le persone delle adeguate
garanzie fornite affinché il trasferimento risulti
lecito.
IV. Raccolta di indirizzi
per la commercializzazione diretta tramite posta elettronica e per la
spedizione di newsletter
28. Per ciò che concerne la
commercializzazione diretta per posta elettronica:
- il Gruppo di lavoro ripropone il proprio parere
secondo il quale gli indirizzi di posta elettronica reperiti nelle aree
pubbliche di Internet all'insaputa delle persone interessate, ad esempio nei
gruppi di discussione, non sono stati raccolti lecitamente. Tali indirizzi non
possono perciò essere utilizzati con finalità diverse da quelle per le quali
sono stati originariamente resi pubblici; in particolar modo non possono essere
utilizzati per la commercializzazione diretta.
- fare uso di indirizzi di posta elettronica per la
commercializzazione diretta a condizione che questi siano stati raccolti
lealmente e legalmente. Affinché la raccolta sia leale
e legale è necessario che le persone interessate siano state informate della
possibilità dell'uso di tali dati per la commercializzazione diretta e che
dette persone abbiano potuto acconsentire a tale uso direttamente al momento
della raccolta (cliccando su una casella di spunta).
L'invio di posta elettronica a scopo promozionale deve altresì prevedere la
possibilità di esercitare il recesso on-line dall'elenco di indirizzi
impiegato.
29. Per ciò che concerne la
spedizione di newsletter:
- Procurarsi il previo consenso delle persone interessate e garantire la
possibilità di un loro recesso da tali spedizioni in qualsiasi momento;
occorrerà pertanto informare dette persone riguardo a questa possibilità
ogniqualvolta viene spedita una newsletter.
Il gruppo di lavoro invita il
Consiglio, la Commissione europea, il Parlamento europeo
e gli Stati membri a tener conto della presente raccomandazione.
Il gruppo si riserva la facoltà di
formulare ulteriori osservazioni.
Fatto a Bruxelles, 21 maggio 2001